Modification substantielle du traitement de données

La société BPO-Bioépine, laboratoire de biologie médicale du réseau BIOGROUP représente les intérêts de vingt-huit laboratoires appartenant au groupe BIOGROUP, constitués en sociétés d’exercice libéral par actions simplifiée (SELAS). En cette qualité, elle centralisera des données pour le compte de chaque SELAS en vue de les verser dans l’entrepôt dénommé « Plateforme AGORIA SANTE ». La société BPO-Bioépine alimentera l’entrepôt par des données à caractère personnel issues des dossiers médicaux informatisés des laboratoires de biologie médicale, puis les détruira après versement. Ces données seront appariées avec celles du Système national des données de santé (SNDS).

Conformément à la délibération n° 2022-063 du 23 mai 2022, l’identifiant patient présent dans les données sources devra être remplacé par un nouvel identifiant généré selon les recommandations de la CNIL lors de leur intégration dans l’entrepôt.

S’agissant des données provenant des dossiers médicaux des patients pris en charge dans un laboratoire de la société BIOGROUP :

La « Plateforme AGORIA SANTE » sera enrichie des données à caractère personnel provenant des dossiers médicaux des patients pris en charge dans un laboratoire du réseau BIOGROUP, regroupées en neuf programmes de recherche portant sur :

• les maladies et risques cardio-vasculaires ;
• la fibrose hépatique ;
• le diabète ;
• l’oncologie ;
• la fertilité ;
• les infections sexuellement transmissibles ;
• les virus respiratoires grippe/covid/virus respiratoire syncitial ;
• la dysthyroïdie.

Le Comité éthique et scientifique intégré à la gouvernance de l’entrepôt a émis un avis, le 17 décembre 2024, sur la constitution de « programmes de recherche » et plus spécifiquement sur certains d’entre eux, en vue de leur versement dans l’entrepôt.

S’agissant des données provenant des dossiers médicaux de biologie médicale :

Certaines données à caractère personnel recueillies dans le cadre du soin alimenteront la plateforme AGORIA :

• données administratives d’identification : numéro d’identifiant patient interne à BIOGROUP (code numérique) ;
• données de localisation : code postal de résidence (4 premiers chiffres) ;
• données de santé :
  • données démographiques : mois et année de naissance, sexe ;
  • date de prescription du soin ;
  • date d’enregistrement du dossier prélèvement ;
  • données de résultats d’analyse de biologie médicale ;
  • données recueillies pour une à trois prescription(s) par patient (données relatives aux prises en charge effectuées entre le 1^er janvier 2021 et le 31 décembre 2025) :
    
    • lieu de soin (FINESS du laboratoire dans lequel le patient a été pris en charge) ;
    • consommation de soin : liste des actes facturés sous forme de codes de Nomenclature des Actes de Biologie Médicale (NABM).

S’agissant des traitements de données du SNDS :

Les données du SNIIRAM et du PMSI des années 2016 à 2027 alimenteront la « Plateforme AGORIA SANTE » aux fins de mise en œuvre du suivi passif des personnes concernées.

Elles seront mises à disposition par la Caisse nationale de l’assurance maladie (CNAM).

Les responsables conjoints de traitement ont transmis, à l’appui de leur demande, plusieurs expressions de besoins précisant, pour chaque base de données, les données du SNDS ayant vocation à alimenter « Plateforme AGORIA SANTE ».

L’appariement sera réalisé de manière probabiliste et itérative à l’aide de variables communes (par exemple l’année de naissance, le sexe, la date de soins, le code FINESS du lieu de prise en charge). Afin de réduire les risques au regard des finalités interdites du SNDS, les codes FINESS seront conservés :

• de manière cloisonnée par rapport aux données de l’entrepôt ;
• aux seules fins d’appariement avec le SNDS.

Seules les variables communes d’appariement des bases sources seront transmises à la CNAM en vue de l’extraction des données du SNDS. Un nouveau numéro d’identification pseudonymisé sera généré par la CNAM pour chaque personne dont les données sont extraites du SNDS. Afin d’assurer la cohérence des extractions récurrentes, une table de correspondance avec les bases sources sera créée et conservée par la CNAM.

Le code FINESS identifiant les laboratoires sera masqué dès réception sur la plateforme AGORIA à l’aide d’une fonction cryptographique de hachage à clé secrète, récente et résistante aux attaques par force brute.

Le masquage sera effectué dans la zone de pseudonymisation, cloisonnée du reste de l’entrepôt ; les FINESS non masqués devront être supprimés à bref délai, dès le contrôle qualité effectué.

Sur l’information des personnes

S’agissant des personnes prises en charge postérieurement au versement des données dans l’entrepôt ou toujours suivies :

La note d’information individuelle qu’elles recevront mentionnera le versement de leurs données dans l’entrepôt, sauf opposition de leur part. Une note d’information spécifique à l’entrepôt leur sera également communiquée lors de l’envoi des comptes rendus d’analyse.

S’agissant des personnes prises en charge antérieurement au versement des données dans l’entrepôt et n’étant plus suivies :

Lorsque le laboratoire dispose toujours des coordonnées de la personne, une note d’information individuelle sera transmise dès notification de la présente autorisation. Par ailleurs, des campagnes d’information automatiques seront réalisées par BIOGROUP par courrier électronique tous les trois ans.

En application de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des patients pour lesquels le laboratoire ne dispose plus de coordonnées et n’étant plus suivis.

Des mesures appropriées seront mises en œuvre, notamment par la diffusion sur les sites web de la société BIOGROUP et des responsables de traitement, ainsi que par voie d’affichage dans les salles d’attente des laboratoires participants, d’une information qui devra comporter l’ensemble des mentions prévues par le RGPD. Par ailleurs, un renvoi vers le site web dédié à la « Plateforme AGORIA SANTE » sera opéré sur le site web de la société BIOGROUP.

Observations complémentaires

En raison de l’ajout du traitement de variables géographiques pour les patients et de codes identifiants pour les établissements, le consortium AGORIA SANTE devra renforcer ses mesures de prévention contre la poursuite des finalités interdites du SNDS, dont notamment :

• exclusion par principe de catégories de personnels qui ne pourront pas faire partie d’équipes de recherche (services commerciaux, développement de dispositifs médicaux, etc.) ;
• exclusion des personnels ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ;
• vigilance particulière concernant l’utilisation de critères géographiques de filtrage et/ou de restitution dans les études réalisées (par ex. département d’exercice du prescripteur et de l’établissement de soin, commune de résidence du patient) ;
• formation et sensibilisation des personnels ;
• gestion des risques, surveillance des incidents et gestion des violations de données en lien avec un détournement de finalité (en particulier : minimisation et granularité des données, risques de réidentification).

Les autres conditions de mise en œuvre de la « Plateforme AGORIA SANTE » restent inchangées.